EU:N TIETOSUOJA-ASETUS, JÄSENREKISTERI JA REKISTERISELOSTE Yhdistysnäkökulmasta Esityksen pohjana käytetty mm. Suomen Kotiseutuliiton diaesitys, varatuomari Tommi Siron ohjeistus kyläyhdistyksille sekä Tietosuojavaltuutetun toimiston verkkosivuja.
TIETOSUOJA-ASETUS (GDPR) LYHYESTI Tietosuoja-asetus tullut voimaan 25.5.2016. Asetusta sovellettava viimeistään 25.5.2018. Eletään siirtymäkautta: kansallinen lainsäädäntö tekeillä. Aiemmin voimassa on ollut henkilötietolaki. Uudessa paljon samaa, mutta velvoitteet tiukkenevat ja sanktiot kovenevat. Tavoite on varmistaa, että ihmisten oikeus henkilötietojen suojaan ja yksityisyyteen toteutuu myös digiaikana.
MITÄ OVAT HENKILÖTIEDOT? MIKÄ ON REKISTERI? Henkilötietoja ovat kaikki tiedot, joiden nojalla joku elossa oleva henkilö voidaan tunnistaa. Asetusta sovelletaan henkilötietojen käsittelyyn, kun tiedoista muodostuu rekisteri: jäsenluettelo arkistoaineisto museon luettelotiedot
REKISTERINPITÄJÄ? REKISTERIN YHTEYSHENKILÖ? REKISTERIN KÄYTTÄJÄ? Rekisterinpitäjä on esim. yhdistys jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä sen käytöstä (ei esim. jaos, hallituksen jäsen tai rekisteristä teknisesti ylläpitävä palveluyritys). Yhteyshenkilö on henkilö jolle voidaan esittää erilaisia henkilötietojen käsittelyä koskevia tiedusteluja. Käyttäjä tai henkilötietojen käsittelijä voi olla esim. kirjanpitotoimisto jolle on annettu oikeus käyttää jäsenrekisteriä jäsenmaksujen laskutusta varten tai rekisteripalvelun tarjoaja.
REKISTERINPITÄJÄ SAA KÄSITELLÄ HENKILÖTIETOJA VAIN TIETOSUOJA-ASETUKSESSA SÄÄDETYILLÄ PERUSTEILLA Peruste voi olla esim. henkilön suostumus, joka voidaan kysyä jäseneltä jäsenhakemuslomakkeessa. Tai jos henkilötietojen käsittely on tarpeen: sopimuksen täytäntöön panemiseksi rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (yhdistys) yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
ENTÄ WANHAT JÄSENET? PITÄÄKÖ KYSYÄ SAAKO HEIDÄN TIETONSA OLLA YHDISTYKSEN JÄSENREKISTERISSÄ? Ei selvää ohjeistusta vielä tässä vaiheessa (huhtikuu 2018). Seuratkaa Tietosuojavaltuutetun toimiston tiedotteita. Mitään ohjeistusta ei ole myöskään miten toimia esim. sähköpostilistojen ja ryhmien kanssa. HUOM! Jos jäsen ei halua että hänestä on mitään tietoja missään rekistereissä niin hän ei voi olla jäsen koska on olemassa yhdistyslainsäädäntö. Eli vähintään nimi sekä paikkakunta pitää olla jäsenrekisterissä. Miten hoitaa vuosikokouskutsu osoitteettomalle? Tarkistakaa omat sääntönne onko lehti-ilmoitus, kirje, s-posti vai verkkosivut käytössä.
Organisaatiolla on oltava kyky osoittaa noudattavansa asetusta, tässä rekisteriselosteen laatiminen auttaa. VASTUUT JA VELVOLLISUUDET KASVAVAT tietosuoja.fi Varsinkin internetiin vietävä aineisto harkittava tarkoin. Tarpeettomien henkilötietojen keräämistä ja säilyttämistä on syytä välttää.
REKISTERIIN EI SAA TALLENTAA ARKALUONTEISIA TIETOJA Arkaluonteisina pidetään tietoja, jotka kuvaavat henkilön: rotua tai etnistä alkuperää vakaumusta tai ammattiliittoon kuulumista rikollista tekoa tai rangaistusta terveydentilaa, sairautta, vammaa tai hoitotoimenpiteitä seksuaalista suuntautumista sosiaalihuollon tarvetta, tukitoimia ja muita sosiaalihuollon etuuksia
JÄSENEN SUOSTUMUKSELLA JOITAIN TIETOJA VOI TALLENTAA MÄÄRÄAIKAISESTI Joitain arkaluonteisia tietoja saa tallentaa rekisteriin jäsenen suostumuksella. Näitä tietoja ovat esimerkiksi henkilötunnukset ja ruoka-aineallergiat. Arkaluonteiset tiedot on poistettava rekisteristä heti, kun niille ei ole enää tarvetta. Asian arkaluonteisuuden voi myös joskus kiertää: jos pyytää terveystiedoiksi katsottujen allergioiden sijaan jäseniä ilmoittamaan erityisruokavalionsa, ei asia ole arkaluonteinen.
HENKILÖTIETOJEN KÄSITTELY Henkilötietojen käsittelyllä tarkoitetaan tietoihin liittyvää tai kohdistuvaa toimea, esim. keräämistä, tallettamista, järjestämistä, käyttämistä ja luovuttamista. Tietojen käsittelyä on siten esimerkiksi yhdistyksen jäsenrekisterin ylläpitäminen tai kun yhdistys muun toimintansa vuoksi ylläpitää henkilörekisteriä. Varatuomari Tommi Siro
DOKUMENTOINTI Dokumentoinnin vaatimus lisääntyy. Kirjattavaksi tulee henkilörekisterien käyttötarkoitus ja on pystyttävä kertomaan, miten ja milloin tiedot on kerätty. Lisäksi tulee kirjattavaksi suunnitelma miten tieto suojataan sekä toimintasuunnitelma tietosuojamurron sattuessa. Jokaisesta henkilörekisteristä on tehtävä tietosuojaseloste. Tärkeätä on, että dokumentointi ja suunnitelmat pidetään ajan tasalla.
Rekisterin tietoja pitää käsitellä lain mukaisesti ja huolellisesti, eikä jäsenten yksityisyyttä saa loukata. TIETOJEN KÄSITTELEMINEN JA SUOJAAMINEN Kerättävät ja käsiteltävät tiedot on suojattava asiattomalta pääsyltä tietoihin sekä tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä ja muulta laittomalta käsittelyltä. (On siis estettävä varastamisen mahdollisuus.) Jäsenrekisteriä on syytä säilyttää salasanan takana ja vain rekisteristä vastaavan henkilön saatavilla.
Kullakin jäsenellä on oikeus saada tietää, mitä tietoja hänestä itsestään on jäsenrekisteriin tallennettu. TIETOJEN KÄSITTELEMINEN JA SUOJAAMINEN Henkilötietolaki määrää myös vaitiolovelvollisuudesta. Tietoja yksilöistä ei saa ilmaista sivulliselle. Jäsenrekisterin henkilötietoja ei saa luovuttaa edes yhdistyksen muille jäsenille. Yhdistyksen jäsenillä on kuitenkin oikeus tietää muiden jäsenten nimet ja kotipaikat.
REKISTERI-SELOSTE Rekisterinpitäjän on henkilötietolain mukaan laadittava jokaisesta henkilörekisteristä rekisteriseloste. Tämä koskee siis myös yhdistysten jäsenluetteloita. Valmiita lomakkeita ja ohjeet rekisteriselosteen tekoon saa sähköisenä Tietosuojavaltuutetun toimistosta. Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Rekisteriselosteen voi sijoittaa esimerkiksi yhdistyksen verkkosivuille.
REKISTERISELOSTELOMAKE JA OHJEET Samaan henkilörekisteriin kuuluvat myös erikseen pidetyt atk-rekisterit ja manuaaliset luettelot sekä kortistot, jos niitä käytetään saman tehtävän hoitamiseen. Lomake ja ohjeet saa tietosuoja.fi verkkosivuilta. http://www.tietosuoja.fi/fi/index/materiaalia/lomakke et/rekisteri-jatietosuojaselosteet.html
WWW.TIETOSUOJA.FI Yhdistyslain 11 :n mukaan on hallituksen velvollisuus pitää jäsenluetteloa. Luetteloon on merkittävä kunkin jäsenen täydellinen nimi ja kotipaikka. Jäsenellä on oikeus tutustua edellä mainittuihin tietoihin.
SANKTIOT? Kovat sanktiot ovat herättäneet paljon kohua. Jos rikkoo tahallaan uutta EU:n tietosuojaasetusta, saa sakon. Sakko on vähintään 10 miljoonaa euroa tai 2 % yrityksen liikevaihdosta riippuen siitä, kumpi summista on suurempi. Joistakin laiminlyönneistä voidaan rangaista jopa 20 miljoonan euron sakolla tai sakko voi olla jopa 4 % liikevaihdosta. Tähän mennessä suurin uhka on ollut maineen menettäminen, mutta jatkossa voi tulla myös sakkoja, jos on toiminut törkeän huolimattomasti tai tahallisesti. Lähtökohtaisesti sakot edellyttävät kuitenkin vakavia laiminlyöntejä ja piittaamattomuutta. Laura Teirikko, Castren&Snellmann
JÄSENREKISTERIN MUOTO Jäsenrekisteri voidaan toteuttaa teknisesti eri tavoin. Pienelle järjestölle riittää hyvin Excel tai muulla toimisto-ohjelmalla tehty tiedosto. Rekisterin kasvaessa voi olla käytännöllisempää käyttää erityisiä jäsenrekisteriohjelmia tai tietokantoja. Googlaa ilmainen jäsenrekisteriohjelma tms. Esim. Yhdistysavain www.yhdistysavain.fi HUOM! Kaikki ei ole ilmaista vaikka ensin siltä vaikuttaa.
JÄSENLUETTELO HALLINTA Uuden hallitusjäsenen/hallituksen työ helpottuu kunnollisella perehdytyksellä sekä kirjallisilla ohjeilla jäsenrekisterin hoidosta ja päivittämisestä. Jäsenluetteloon on merkittävä vähintään kunkin jäsenen koko nimi sekä kotipaikka. Jäsenluettelo sisältää usein käytännössä myös jäsenten yhteystiedot, jäsenmaksutietoja, jäseneksi liittymisajankohdan ja muita yhdistyksen toiminnan kannalta oleellisia tietoja. Kaikkien jäsenluetteloon merkittävien tietojen on myös oltava yhdistyksen toiminnan kannalta tarpeellisia.
TOMMI SIRON MUISTILISTA 1) Kartoita tietojen kerääminen/dokumentoi se. Miten tietoa kerätään? Mihin tiedot tallennetaan? Ketkä käsittelevät tietoa? Tietojen säilytysaika? Miten tiedot poistetaan? 2) Listaa kaikki erilaiset henkilötietolistat + laadi niille tietosuojaseloste. Varmistu käsittelyperusteen olemassaolosta. 3) Huolehdi, että kykenet toimittamaan rekisteröidyille näiden pyytämät tiedot. Varmista tietojen poistamisen mahdollisuus. 4) Selvitä tietoturvan taso. Arvioi riskit ja tee toimintasuunnitelma (miten hallinnoit ja hallitset rekisteriasiat). Dokumentoi suunnitelma tietoturvadokumenttiin. Liitä dokumenttiin tietoturvajärjestelmän toimittajan oma toimintasuunnitelma.
ÄLÄ HÄTÄILE Tietosuojavaltuutetun toimisto tiedottaa tulevista ohjeista verkkosivuillaan. Asetusta sovellettava viimeistään 25.5.2018. Vakavasta tietoturvaloukkauksesta on tehtävä ilmoitus 72 tunnissa tietosuojavaltuutetulle. Rekisteröidyn selvityspyyntöihin on vastattava viipymättä ja viimeistään 4 viikossa.